Vous êtes sur la page 1sur 6

Travaux pratiques - Sécurisation des périphériques réseau

Topologie

Table d'adressage

Masque de Passerelle par


Appareil Interface Adresse IP sous-réseau défaut

R1 G0/1 192.168.1.1 255.255.255.0 N/A


S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1
PC-A Carte réseau 192.168.1.3 255.255.255.0 192.168.1.1

Objectifs
Partie 1 : Configurer les paramètres de base des périphériques
Partie 2 : Configurer les mesures de sécurité de base sur le routeur
Partie 3 : Configurer les mesures de sécurité de base sur le commutateur

Partie 1: Configurer les paramètres de base des périphériques


Dans la première partie, vous allez configurer la topologie du réseau et configurer les paramètres de base,
tels que les adresses IP des interfaces, l'accès des périphériques et les mots de passe sur les périphériques.

Étape 1: Câblez le réseau conformément à la topologie.


Connectez les périphériques représentés dans la topologie et effectuez le câblage nécessaire.

Étape 2: Initialisez et redémarrez le routeur et le commutateur.

Étape 3: Configurez le routeur et le commutateur.


a. Accédez au périphérique par la console et activez le mode d'exécution privilégié.
b. Attribuez le nom du périphérique comme indiqué dans la table d'adressage.
c. Désactivez la recherche DNS pour empêcher le routeur d'essayer de traduire les commandes saisies
comme s'il s'agissait de noms d'hôtes.
d. Attribuez class comme mot de passe chiffré d'exécution privilégié.
e. Attribuez cisco comme mot de passe de console et activez la connexion.
f. Attribuez cisco comme mot de passe VTY et activez la connexion.
g. Créez une bannière qui avertit quiconque accède au périphérique que tout accès non autorisé est interdit.
h. Configurez et activez l'interface G0/1 sur le routeur à l'aide des informations contenues dans la table
d'adressage.

© 2019 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 sur 6
Travaux pratiques - Sécurisation des périphériques réseau

i. Configurez l'interface SVI par défaut sur le commutateur avec les informations d'adresse IP figurant dans
la table d'adressage.
j. Enregistrez la configuration en cours dans le fichier de configuration initiale.

Partie 1: Configurer les mesures de sécurité de base sur le routeur


Étape 1: Chiffrez tous les mots de passe en clair.
R1(config)# service password-encryption

Étape 2: Renforcez les mots de passe.


Un administrateur doit s'assurer que les mots de passe respectent les consignes standard pour les mots de
passe forts. Ces consignes peuvent être d'inclure des lettres, des chiffres et des caractères spéciaux dans le
mot de passe et de définir une longueur minimale.
Remarque : dans un environnement de production, les meilleures pratiques requièrent l'utilisation de mots de
passe forts, comme ceux affichés ici. Cependant, les autres travaux pratiques de ce cours utilisent les mots
de passe cisco et class pour faciliter l'exécution des travaux pratiques.
a. Modifiez le mot de passe chiffré du mode d'exécution privilégié pour respecter les consignes.
b. 10 caractères minimum doivent être utilisés pour tous les mots de passe.

Étape 3: Activez les connexions SSH.


a. Attribuez le nom de domaine CCNA-lab.com.
b. Créez une entrée dans la base de données des utilisateurs locaux à utiliser lors de la connexion au
routeur via SSH. Le mot de passe doit respecter les consignes relatives aux mots de passe forts et
l'utilisateur doit disposer d'un accès d'exécution utilisateur. Si le niveau de privilège n'est pas spécifié
dans la commande, l'utilisateur disposera par défaut de l'accès d'exécution utilisateur (niveau 15).
c. Configurez la commande transport input pour les lignes VTY afin que les connexions SSH soient
autorisées, mais pas les connexions Telnet.
d. Les lignes VTY doivent utiliser la base de données des utilisateurs locaux pour l'authentification.
e. Générez une clé de chiffrement RSA en utilisant un module de 1 024 bits.

Étape 4: Sécurisez les lignes de console et VTY.


a. Vous pouvez configurer le routeur pour qu'une connexion inactive pendant une durée définie soit
automatiquement fermée. Si un administrateur réseau est connecté à un périphérique réseau et doit
soudainement s'absenter, cette commande déconnecte automatiquement l'utilisateur au terme du délai
spécifié. Les commandes suivantes déconnectent la ligne après cinq minutes d'inactivité.
b. La commande suivante empêche les tentatives de connexion par force brute. Le routeur bloque les
tentatives de connexion pendant 30 secondes si quelqu'un effectue deux tentatives infructueuses en
l'espace de 120 secondes. Ce minuteur a été défini à une valeur particulièrement faible pour les besoins
de ces travaux pratiques.

© 2019 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 2 sur 6
Travaux pratiques - Sécurisation des périphériques réseau

Que signifie 2 within 120 dans la commande ci-dessus ?


____________________________________________________________________________________
Que signifie block-for 30 dans la commande ci-dessus ?
____________________________________________________________________________________

Étape 5: Vérifiez que tous les ports inutilisés sont désactivés.


Les ports du routeur sont désactivés par défaut, mais il est toujours prudent de vérifier que tous les ports
inutilisés se trouvent à l'état d'arrêt administratif (administratively down). Vous pouvez rapidement vérifier cela
en tapant la commande show ip interface brief. Tous les ports inutilisés qui ne se trouvent à l'état d'arrêt
administratif doivent être désactivés au moyen de la commande shutdown en mode de configuration
d'interface.
R1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
Embedded-Service-Engine0/0 unassigned YES NVRAM administratively down down
GigabitEthernet0/0 unassigned YES NVRAM administratively down down
GigabitEthernet0/1 192.168.1.1 YES manual up up
Serial0/0/0 unassigned YES NVRAM administratively down down
Serial0/0/1 unassigned YES NVRAM administratively down down
R1#

Étape 6: Vérifiez que vos mesures de sécurité ont été mises en œuvre correctement.
a. Utilisez Tera Term pour établir une connexion telnet vers R1.
R1 accepte-t-il la connexion Telnet ? Expliquez votre réponse.
____________________________________________________________________________________
____________________________________________________________________________________
b. Utilisez Tera Term pour établir une connexion SSH vers R1.
R1 accepte-t-il la connexion SSH ? __________ Oui
c. Effectuez volontairement une faute en tapant les informations de l'utilisateur et du mot de passe pour voir
si l'accès est bloqué au bout de deux tentatives.
Que s'est-il passé lorsque vous n'êtes pas parvenu à vous connecter la deuxième fois ?
____________________________________________________________________________________
____________________________________________________________________________________
d. À partir de votre session de console sur le routeur, entrez la commande show login pour afficher l'état de
la connexion. Dans l'exemple ci-dessous, la commande show login a été exécutée dans les
30 secondes du délai de blocage des connexions et indique que le routeur est en mode silencieux (Quiet-
Mode). Le routeur n'acceptera plus aucune tentative de connexion pendant 14 secondes
supplémentaires.
R1# show login
A default login delay of 1 second is applied.
No Quiet-Mode access list has been configured.

Router enabled to watch for login Attacks.


If more than 2 login failures occur in 120 seconds or less,
logins will be disabled for 30 seconds.

© 2019 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 3 sur 6
Travaux pratiques - Sécurisation des périphériques réseau

Router presently in Quiet-Mode.


Will remain in Quiet-Mode for 14 seconds.
Denying logins from all sources.
R1#
e. Au terme du délai des 30 secondes, envoyez à nouveau SSH à R1 et connectez-vous au moyen du nom
d'utilisateur SSHadmin et du mot de passe Admin1p@55.
Une fois que vous vous êtes connecté avec succès, qu'est-ce qui s'est affiché ?
________________________
f. Passez en mode d'exécution privilégié et utilisez Enablep@55 comme mot de passe.
Si vous n'avez pas tapé correctement ce mot de passe, êtes-vous déconnecté de votre session SSH
après deux tentatives infructueuses en l'espace de 120 secondes ? Expliquez votre réponse.
____________________________________________________________________________________
____________________________________________________________________________________
g. Exécutez la commande show running-config à l'invite du mode d'exécution privilégié pour afficher les
paramètres de sécurité que vous avez appliqués.

Partie 2: Configurer les mesures de sécurité de base sur le commutateur


Étape 1: Chiffrez tous les mots de passe en clair

Étape 2: Renforcez les mots de passe sur le commutateur.


Modifiez le mot de passe chiffré du mode d'exécution privilégié pour satisfaire aux consignes relatives aux
mots de passe forts.
Remarque : la commande password min-length de sécurité n'est pas disponible sur le commutateur 2960.

Étape 3: Activez les connexions SSH.


a. Attribuez le nom de domaine CCNA-lab.com.
b. Créez une entrée dans la base de données des utilisateurs locaux à utiliser lors de la connexion au
commutateur via SSH. Le mot de passe doit respecter les consignes relatives aux mots de passe forts et
l'utilisateur doit disposer d'un accès d'exécution utilisateur. Si le niveau de privilège n'est pas spécifié
dans la commande, l'utilisateur disposera par défaut de l'accès d'exécution utilisateur (niveau 1).
c. Configurez la commande transport input pour les lignes VTY de façon à autoriser les connexions SSH
mais pas les connexions Telnet.
d. Les lignes VTY doivent utiliser la base de données des utilisateurs locaux pour l'authentification.
e. Générez une clé de chiffrement RSA en utilisant un module de 1 024 bits.

Étape 4: Sécurisez les lignes de console et VTY.


a. Configurez le commutateur pour qu'il désactive toute ligne inactive depuis 10 minutes.
b. Pour empêcher toute tentative de connexion par la force brute, configurez le commutateur pour qu'il
bloque les accès pendant 30 secondes lorsque 2 tentatives infructueuses sont effectuées en l'espace de
120 secondes. Ce minuteur a été défini à une valeur particulièrement faible pour les besoins de ces
travaux pratiques.

© 2019 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 4 sur 6
Travaux pratiques - Sécurisation des périphériques réseau

Étape 5: Vérifiez que tous les ports inutilisés sont désactivés.


Par défaut, les ports du commutateur sont activés. Désactivez tous les ports inactifs sur le commutateur.
a. Vous pouvez vérifier l'état des ports du commutateur au moyen de la commande show ip interface
brief.
S1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
Vlan1 192.168.1.11 YES manual up up
FastEthernet0/1 unassigned YES unset down down
FastEthernet0/2 unassigned YES unset down down
FastEthernet0/3 unassigned YES unset down down
FastEthernet0/4 unassigned YES unset down down
FastEthernet0/5 unassigned YES unset up up
FastEthernet0/6 unassigned YES unset up up
FastEthernet0/7 unassigned YES unset down down
FastEthernet0/8 unassigned YES unset down down
FastEthernet0/9 unassigned YES unset down down
FastEthernet0/10 unassigned YES unset down down
FastEthernet0/11 unassigned YES unset down down
FastEthernet0/12 unassigned YES unset down down
FastEthernet0/13 unassigned YES unset down down
FastEthernet0/14 unassigned YES unset down down
FastEthernet0/15 unassigned YES unset down down
FastEthernet0/16 unassigned YES unset down down
FastEthernet0/17 unassigned YES unset down down
FastEthernet0/18 unassigned YES unset down down
FastEthernet0/19 unassigned YES unset down down
FastEthernet0/20 unassigned YES unset down down
FastEthernet0/21 unassigned YES unset down down
FastEthernet0/22 unassigned YES unset down down
FastEthernet0/23 unassigned YES unset down down
FastEthernet0/24 unassigned YES unset down down
GigabitEthernet0/1 unassigned YES unset down down
GigabitEthernet0/2 unassigned YES unset down down
S1#
b. Utilisez la commande interface range pour désactiver plusieurs interfaces à la fois.
S1#
c. Vérifiez que toutes les interfaces inactives ont été désactivées administrativement.
S1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
Vlan1 192.168.1.11 YES manual up up
FastEthernet0/1 unassigned YES unset administratively down down
FastEthernet0/2 unassigned YES unset administratively down down
FastEthernet0/3 unassigned YES unset administratively down down
FastEthernet0/4 unassigned YES unset administratively down down
FastEthernet0/5 unassigned YES unset up up
FastEthernet0/6 unassigned YES unset up up

© 2019 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 5 sur 6
Travaux pratiques - Sécurisation des périphériques réseau

FastEthernet0/7 unassigned YES unset administratively down down


FastEthernet0/8 unassigned YES unset administratively down down
FastEthernet0/9 unassigned YES unset administratively down down
FastEthernet0/10 unassigned YES unset administratively down down
FastEthernet0/11 unassigned YES unset administratively down down
FastEthernet0/12 unassigned YES unset administratively down down
FastEthernet0/13 unassigned YES unset administratively down down
FastEthernet0/14 unassigned YES unset administratively down down
FastEthernet0/15 unassigned YES unset administratively down down
FastEthernet0/16 unassigned YES unset administratively down down
FastEthernet0/17 unassigned YES unset administratively down down
FastEthernet0/18 unassigned YES unset administratively down down
FastEthernet0/19 unassigned YES unset administratively down down
FastEthernet0/20 unassigned YES unset administratively down down
FastEthernet0/21 unassigned YES unset administratively down down
FastEthernet0/22 unassigned YES unset administratively down down
FastEthernet0/23 unassigned YES unset administratively down down
FastEthernet0/24 unassigned YES unset administratively down down
GigabitEthernet0/1 unassigned YES unset administratively down down
GigabitEthernet0/2 unassigned YES unset administratively down down
S1#

Étape 6: Vérifiez que vos mesures de sécurité ont été mises en œuvre correctement.
a. Vérifiez que la connexion Telnet a été désactivée sur le commutateur.
b. Envoyez SSH au commutateur et effectuez volontairement une faute en tapant les informations de
l'utilisateur et du mot de passe pour vérifier si l'accès est bloqué.
c. Au terme du délai des 30 secondes, envoyez à nouveau SSH à S1 et connectez-vous au moyen du nom
d'utilisateur SSHadmin et du mot de passe Admin1p@55.
La bannière s'est-elle affichée après vous être connecté avec succès ? __________
d. Passez en mode d'exécution privilégié en utilisant Enablep@55 comme mot de passe.
e. Exécutez la commande show running-config à l'invite du mode d'exécution privilégié pour afficher les
paramètres de sécurité que vous avez appliqués.

Remarques générales
1. La commande password cisco a été entrée pour les lignes console et VTY dans votre configuration de base
dans la première partie. Quand ce mot de passe sera-t-il utilisé une fois les mesures de sécurité des
meilleures pratiques appliquées ?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2. Les mots de passe préconfigurés, comportant moins de 10 caractères, sont-ils concernés par la commande
security passwords min-length 10 ?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________

© 2019 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 6 sur 6

Vous aimerez peut-être aussi